[Windows]

Windows-Domänenkonten für IBM MQ erstellen und einrichten

Die folgenden Informationen sind für Domänenadministratoren gedacht. Anhand dieser Informationen können Sie ein spezielles Domänenkonto für den IBM® MQ-Service erstellen und einrichten, wenn IBM MQ in einer Windows-Domäne installiert werden soll, in der lokale Konten keine Berechtigung zum Abfragen der Gruppenzugehörigkeit der Domänenbenutzerkonten haben.

Informationen zu diesem Vorgang

Wenn Sie einen lokalen Benutzer zur Gruppe mqm hinzufügen, kann dieser Benutzer IBM MQ auf dem System verwalten. In diesem Abschnitt wird beschrieben, wie mit Windows-Domänenbenutzer-IDs dasselbe erreicht werden kann.

IBM MQ verfügt über eine Komponente, die als Windows-Dienst unter einem lokalen, von IBM MQ bei der Installation erstellten Benutzerkonto ausgeführt wird, und überprüft, ob das Konto, unter dem die IBM MQ-Services ausgeführt werden, die Gruppenzugehörigkeit von Domänenkonten abfragen kann und ob es über die Berechtigung zum Verwalten von IBM MQ verfügt. Ohne die Berechtigung zur Abfrage der Gruppenzugehörigkeit schlagen die Zugriffsprüfungen der Services fehl.

Windows-Domänencontroller, auf denen Windows Active Directory zur Ausführung kommt, können so eingerichtet werden, dass lokale Konten keine Berechtigung zum Abfragen der Gruppenzugehörigkeit der Domänenbenutzerkonten haben. Dadurch kann IBM MQ keine Prüfungen vornehmen und der Zugriff schlägt fehl. Wenn Sie Windows auf einem Domänencontroller verwenden, der auf diese Weise konfiguriert ist, muss ein spezielles Domänenbenutzerkonto mit den erforderlichen Berechtigungen verwendet werden.

Jede IBM MQ-Installation im Netz muss so konfiguriert sein, dass der Service unter einem Domänenbenutzerkonto ausgeführt wird, das überprüfen kann, ob in den Domänen definierte Benutzer für den Zugriff auf Warteschlangenmanager oder Warteschlangen berechtigt sind. In der Regel erhält dieses besondere Konto die IBM MQ-Administratorrechte durch seine Zugehörigkeit zur Domänengruppe DOMAIN\Domain mqm. Diese Domänengruppe wird vom Installationsprogramm automatisch unter der lokalen mqm-Gruppe des Systems eingeordnet, auf dem IBM MQ installiert wird.

Wichtig: Das IBM MQ-Installationsprogramm benötigt die Benutzer-ID und das Kennwort dieses speziellen Domänenbenutzerkontos, damit der IBM MQ-Service nach der Produktinstallation anhand dieser Informationen konfiguriert werden kann. Wenn das Installationsprogramm trotzdem fortfährt und IBM MQ ohne besonderes Konto konfiguriert, funktionieren viele oder sogar alle Komponenten von IBM MQ nicht. Dies hängt, wie nachfolgend aufgeführt, von den jeweiligen Benutzerkonten ab:
  • IBM MQ-Verbindungen zu Warteschlangenmanagern, die unter Windows-Domänenkonten auf anderen Computern ausgeführt werden, können fehlschlagen.
  • Zu den typischen Fehlermeldungen gehören AMQ8066: Local mqm group not found (Lokale Gruppe 'mpm' nicht gefunden) und AMQ8079: Access was denied when attempting to retrieve group membership information for user 'abc@xyz' (Zugriff wurde verweigert, als versucht wurde, Daten zur Gruppenzugehörigkeit für Benutzer 'abc@xyz' abzurufen).

Sie müssen die Schritte 1 und 2 des folgenden Verfahrens für jede Domäne mit Benutzernamen, die IBM MQ verwalten werden, ausführen, um in jeder Domäne ein Konto für IBM MQ zu erstellen.

Vorgehensweise

  1. Erstellen Sie eine Domänengruppe mit einem speziellen Namen, der in IBM MQ bekannt ist (siehe 1.d), und erteilen Sie den zu dieser Gruppe gehörenden Benutzern die Berechtigung zum Abfragen der Gruppenzugehörigkeit eines Kontos.
    1. Melden Sie sich am Domänencontroller unter einem Benutzerkonto mit Domänenadministratorberechtigung an.
    2. Öffnen Sie über das Startmenü das Fenster 'Active Directory-Benutzer und -Computer'
    3. Suchen Sie im Navigationsfenster nach dem Namen der Domäne, klicken Sie mit der rechten Maustaste darauf und wählen Sie die Option Neue Gruppe aus.
    4. Geben Sie in das Feld Gruppenname einen Gruppennamen ein.
      Anmerkung: Der bevorzugte Gruppenname lautet Domain mqm. Geben Sie ihn genau wie hier dargestellt ein.
      • Durch das Aufrufen der Gruppe Domain mqm ändert sich das Verhalten des IBM MQ-Vorbereitungsassistenten auf einer Workstation oder einem Server der Domäne. Der IBM MQ-Vorbereitungsassistent fügt dann nämlich der Gruppe Domain mqm bei jeder Neuinstallation von IBM MQ in der Domäne automatisch der lokalen Gruppe mqm hinzu.
      • Es ist möglich, Workstations oder Server in einer Domäne ohne globale Gruppe Domain mqm zu installieren. In diesem Fall muss eine Gruppe definiert werden, die über dieselben Eigenschaften wie die Gruppe Domain mqm verfügt. Machen Sie die Gruppe oder ihre Benutzermitglieder zu Mitgliedern der lokalen Gruppe mqm, sobald IBM MQ in einer Domäne installiert wird. Domänenbenutzer können in mehreren Gruppen platziert werden. Erstellen Sie mehrere Domänengruppen, die jeweils einer Gruppe von Installationen entsprechen, die separat verwaltet werden sollen. Teilen Sie die Domänenbenutzer entsprechend den von ihnen verwalteten Installationen in verschiedene Domänengruppen auf. Fügen Sie jede Domänengruppe der lokalen Gruppe mqm unterschiedlicher IBM MQ-Installationen hinzu. Nur die Domänenbenutzer in den Domänengruppen, die einer bestimmten lokalen Gruppe mqm angehören, können Warteschlangenmanager für die betreffende Installation erstellen, verwalten und ausführen.
      • Der Domänenbenutzer, den Sie bei der Installation von IBM MQ auf einer Workstation oder einem Server in einer Domäne nominieren, muss Mitglied der Gruppe Domain mqm oder einer alternativen Gruppe sein, für die Sie dieselben Eigenschaften wie für die Gruppe Domain mqm definiert haben.
    5. Behalten Sie die Auswahl von Global für Gruppenbereich bei oder ändern Sie sie in Universal. Behalten Sie die Auswahl von Sicherheit für Gruppentyp bei. Klicken Sie auf OK.
    6. Führen Sie die folgenden Schritte aus, um der Gruppe auf Basis der Windows-Version des Domänencontrollers Berechtigungen zuzuweisen:
      Unter Windows Server 2012, Windows Server 2012 R2 und Windows Server 2016:
      1. Klicken Sie im Server-Manager auf Tools und wählen Sie anschließend im Listenfenster Active Directory-Benutzer und -Computer aus.
      2. Wählen Sie Ansicht > Erweiterte Funktionen aus.
      3. Blenden Sie Ihren Domänennamen ein und klicken Sie dann auf Benutzer.
      4. Klicken Sie im Fenster Benutzer mit der rechten Maustaste auf Domain mqm > Eigenschaften.
      5. Klicken Sie auf der Registerkarte Sicherheit auf Erweitert > Hinzufügen....
      6. Klicken Sie auf Prinzip auswählen, geben Sie dann Domain mqm ein und klicken Sie auf Namen überprüfen > OK.

        Das Feld Name enthält bereits die Zeichenfolge Domain mqm (Domänenname\Domain mqm).

      7. Wählen Sie in der Liste Anwenden auf die Option Untergeordnete Benutzerobjekte aus.
      8. Wählen Sie aus der Liste Berechtigungen die Kontrollkästchen Gruppenzugehörigkeit abrufen und Gruppenzugehörigkeit SAM abrufen aus.
      9. Klicken Sie auf OK > Übernehmen > OK > OK.
      Unter Windows Server 2008 und Windows 2008 R2:
      1. Klicken Sie in der Navigationsstruktur des Server-Managers auf Benutzer.
      2. Klicken Sie in der Aktionsleiste des Server-Managers auf Ansicht > Erweiterte Funktionen.
      3. Klicken Sie im Fenster Benutzer mit der rechten Maustaste auf Domain mqm > Eigenschaften.
      4. Klicken Sie auf der Registerkarte Sicherheit auf Erweitert > Hinzufügen, geben Sie dann Domain mqm ein und klicken Sie auf Namen überprüfen > OK.

        Das Feld Name enthält bereits die Zeichenfolge Domain mqm (Domänenname\Domain mqm).

      5. Klicken Sie auf Eigenschaften. Wählen Sie in der Liste Anwenden auf die Option Untergeordnete Benutzerobjekte aus.
      6. Wählen Sie aus der Liste Berechtigungen die Kontrollkästchen Gruppenzugehörigkeit abrufen und Gruppenzugehörigkeit SAM abrufen aus.
      7. Klicken Sie auf OK > Übernehmen > OK > OK.
  2. Erstellen Sie mindestens ein Konto, und fügen Sie es der Gruppe hinzu:
    1. Erstellen Sie unter Active Directory-Benutzer und -Computer ein Benutzerkonto mit einem Namen Ihrer Wahl und fügen Sie es der Gruppe Domain mqm (oder einer Gruppe, die zur lokalen Gruppe mqm gehört) hinzu.
    2. Wiederholen Sie diesen Vorgang für alle Konten, die Sie erstellen möchten.
    Achtung: Unter Windows können Sie keine Benutzerdomäne mit dem Namen mqm verwenden.
  3. Wiederholen Sie die Schritte 1 und 2 für jede Domäne mit Benutzernamen, die IBM MQ verwalten werden, um ein Konto für IBM MQ in den jeweiligen Domänen zu erstellen.
  4. Verwenden Sie die Konten bei der Konfiguration jeder IBM MQ-Installation:
    1. Verwenden Sie entweder für jede Installation von IBM MQ dasselbe Domänenbenutzerkonto (das sie in Schritt 1 angelegt haben), oder legen Sie für jede ein eigenes Konto an, wobei Sie dieses jeweils zur Gruppe Domain mqm hinzufügen (bzw. zu einer Gruppe, die zur lokalen mqm-Gruppe gehört).
    2. Wenn Sie das Konto bzw. die Konten erstellt haben, weisen Sie allen Personen, die eine Installation von IBM MQ konfigurieren, jeweils ein Konto zu. Sie müssen die Daten zum Konto (Domänenname, Benutzername und Kennwort) im IBM MQ-Vorbereitungsassistenten eingeben. Weisen Sie ihnen jeweils das Konto zu, das sich in derselben Domäne wie ihre Installations-Benutzer-ID befindet.
    3. Wenn IBM MQ auf einem beliebigen System innerhalb der Domäne installiert wird, erkennt das IBM MQ-Installationsprogramm, dass die Gruppe Domain mqm im LAN vorhanden ist, und fügt sie automatisch der lokalen Gruppe mqm hinzu. (Die lokale Gruppe mqm wird während der Installation erstellt; alle zugehörigen Benutzerkonten sind zur Verwaltung von IBM MQ berechtigt.) Daher sind alle Benutzerkonten, die zur Gruppe Domain mqm gehören, zur Verwaltung von IBM MQ auf diesem System berechtigt.
    4. Dennoch müssen Sie ein Domänenbenutzerkonto, das Sie in Schritt 1 erstellt haben, für jede Installation bereitstellen und IBM MQ so konfigurieren, dass es das Konto für Abfragen verwendet. Die Kontodetails müssen in den IBM MQ-Vorbereitungsassistenten eingegeben werden, der am Ende der Installation automatisch ausgeführt wird (der Assistent kann jedoch auch jederzeit über das Startmenü ausgeführt werden).
  5. Legen Sie die Gültigkeitsdauer für Kennwörter fest:
    • Wenn Sie für alle Benutzer von IBM MQ ein einziges Konto verwenden, sollten Sie kein Ablaufdatum für das Konto festlegen, da ansonsten alle Instanzen von IBM MQ bei Ablauf des Kennworts gleichzeitig nicht mehr verwendet werden können.
    • Wenn jeder IBM MQ-Benutzer sein eigenes Benutzerkonto erhält, ist der Aufwand zum Erstellen und Verwalten der Benutzerkonten größer, doch im Falle des Ablaufes eines Kennwort wird nur eine Instanz von IBM MQ nicht mehr funktionieren.

    Wenn Sie ein Ablaufdatum für das Kennwort festlegen, machen Sie die Benutzer darauf aufmerksam, dass bei Ablauf des Kennworts eine Warnung von IBM MQ angezeigt wird. Diese informiert den Benutzer, dass das Kennwort abgelaufen ist. Darüber hinaus wird erläutert, wie das Kennwort wiederhergestellt werden kann.

  6. Gehen Sie wie folgt vor, um ein Windows-Domänenkonto als Benutzer-ID für den IBM MQ-Service zu verwenden:
    1. Klicken Sie auf Start > Ausführen....
      Geben Sie den Befehl secpol.msc ein und klicken Sie auf OK.
    2. Klicken Sie auf Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten.
      Klicken Sie in der Liste mit Richtlinien mit der rechten Maustaste auf Als Dienst anmelden > Eigenschaften.
    3. Klicken Sie auf Benutzer oder Gruppe hinzufügen....
      Geben Sie den Namen des Benutzers ein, den Sie vom zuständigen Domänenadministrator erhalten haben, und klicken Sie auf Namen prüfen.
    4. Wenn in einem Windows-Security-Fenster eine entsprechende Eingabeaufforderung angezeigt wird, geben Sie den Benutzernamen und das Kennwort eines Kontobenutzers oder Administrators mit ausreichender Berechtigung ein und klicken Sie auf OK > Apply > OK (OK > Anwenden > OK).
      Schließen Sie das Fenster für lokale Sicherheitsrichtlinien.
    Anmerkung: Die Benutzerkontensteuerung ist standardmäßig aktiviert. Mit dieser Funktion können die Aktionen eingeschränkt werden, die Benutzer für bestimmte Betriebssystemkomponenten ausführen können (selbst wenn die Benutzer zur Gruppe 'Administratoren' gehören). Sie müssen die entsprechenden Schritte ausführen, um diese Einschränkungen aufzuheben.